Web安全是PHP开发的首要关注点。SQL注入、跨站脚本、跨站请求伪造、文件包含、反序列化攻击等威胁持续存在。安全编码不是附加功能,而是设计的一部分。遵循安全编码规范,构建多层防御,可以大幅降低应用被攻破的风险。
参考:https://npqev.cn/category/huayi-dapei.html
输入验证:所有外部输入都是不可信的。外部输入包括 、 _POST、 、 _SERVER、$_FILES、php://input、以及HTTP头。验证规则应该基于白名单(允许哪些值),而不是黑名单(禁止哪些值)。类型验证使用filter_var配合FILTERVALIDATE*标志。长度验证防止缓冲区溢出。格式验证使用正则表达式。
永远不要相信客户端验证。攻击者可以绕过JavaScript验证、修改隐藏字段、重放请求。所有验证必须在服务器端重复。
输出编码:XSS的根本原因是未编码的输出。根据输出上下文选择正确的编码:HTML上下文使用htmlspecialchars,HTML属性上下文使用htmlspecialchars(引号必须编码),JavaScript字符串上下文使用json_encode,CSS上下文使用过滤,URL上下文使用urlencode。
内容安全策略(CSP)是XSS的深度防御。CSP头告诉浏览器只允许加载指定来源的脚本、样式、图片。即使攻击者注入脚本,CSP也会阻止执行。CSP应逐步实施,先从报告模式开始。
SQL注入防御:参数化查询是唯一可靠的防御。预处理语句将SQL代码与数据分离,数据库不会将数据解释为代码。PDO和MySQLi都支持参数化查询。字符串转义函数(mysqli_real_escape_string)是次优选择,容易出错(忘记转义、字符集配置错误)。
CSRF防御:每个修改状态的请求(POST、PUT、DELETE)都应该包含不可预测的CSRFToken。Token绑定到用户会话,嵌入表单或自定义头。SameSiteCookie属性(SameSite=Strict)阻止跨站请求携带Cookie,是重要的补充防御。
文件上传安全:验证文件类型使用finfo_file(MIME类型检测),而不是扩展名。将上传文件存储在Web根目录之外,通过PHP脚本代理访问。使用随机文件名,避免路径遍历攻击。限制文件大小。禁用上传目录的PHP执行(.htaccess或php_flagengineoff)。
文件包含安全:永远不要直接使用用户输入作为文件路径。使用白名单映射( input])。禁用allow_url_include,防止远程文件包含。规范化路径(realpath)并检查是否在允许的目录内。
参考:https://oqmyh.cn/category/chanpin-pingce.html
反序列化安全:unserialize处理不可信数据是危险的。攻击者可以构造序列化字符串,在反序列化过程中触发魔术方法,导致代码执行。使用json_decode替代序列化(JSON没有代码执行风险)。如果必须使用unserialize,使用PHP7的allowed_classes选项限制可反序列化的类。使用签名验证序列化数据的完整性。
命令注入防御:避免使用exec、system、shell_exec、passthru。如果必须使用,使用escapeshellarg转义参数,escapeshellcmd转义命令。更好的做法是使用PHP原生函数替代系统命令(如filesystem函数替代ls)。
会话安全:session_regenerate_id在登录后重新生成会话ID,防止会话固定攻击。session.cookie_httponly设为On,防止JavaScript读取Cookie。session.cookie_secure设为On,确保Cookie仅通过HTTPS传输。session.use_strict_mode防止未初始化的会话ID。会话数据不应存储在可预测的位置。
密码存储:使用password_hash和password_verify。这两个函数自动加盐,使用bcrypt算法,且随硬件升级可调整成本因子。永远不要使用MD5或SHA1(太快,易被暴力破解)。不要自己实现哈希加盐。
错误处理与信息披露:生产环境关闭display_errors,使用log_errors记录错误到文件。自定义错误处理器屏蔽敏感信息(数据库错误、文件路径、堆栈跟踪)。使用Whoops等库在开发环境显示详细错误,生产环境显示友好页面。
参考:https://vrhyh.cn/category/yundong.html
HTTPS强制:所有生产应用应该强制使用HTTPS。通过.htaccess或中间件重定向HTTP到HTTPS。启用HSTS头告诉浏览器永远使用HTTPS访问。混合内容(HTTPS页面加载HTTP资源)会被浏览器阻止或警告。
HTTP头安全:X-Frame-Options:DENY防止点击劫持。X-Content-Type-Options:nosniff防止MIME类型混淆攻击。Referrer-Policy:no-referrer-when-downgrade控制referer信息泄露。Permissions-Policy限制浏览器特性(如摄像头、麦克风)。
依赖安全:使用Composer的composeraudit命令检查已知漏洞。订阅安全公告(如PHP安全邮件列表、框架安全Twitter)。定期更新依赖。考虑使用商业工具(如Snyk、Dependabot)自动检测和修复漏洞。
安全开发生命周期:安全不是事后的补丁。威胁建模在架构阶段识别攻击面。安全编码规范指导日常开发。代码审查重点关注安全检查点。自动化安全测试(SAST、DAST)集成到CI/CD。定期进行渗透测试和漏洞扫描。建立漏洞响应流程。
PHP安全是纵深防御,没有单点解决方案。每个开发者都应该掌握基本安全知识,每个团队都应该有安全负责人。安全不是限制生产力,而是保护业务生命线。
参考:https://vrhyh.cn
